亞信安全XDR，攻防高手的基本演繹法

宋辰

我們已經(jīng)不可能關(guān)上網(wǎng)絡(luò)的潘多拉魔盒，網(wǎng)絡(luò)安全專家們能做的，只有盡早預(yù)判，并且做出更趨合理的響應(yīng)。

潘多拉的魔盒早已打開，只要還有利益的誘惑，網(wǎng)絡(luò)攻擊的寬度就會(huì)和生命的長(zhǎng)度一樣，永遠(yuǎn)潛伏在我們身邊。

來(lái)自埃森哲的數(shù)據(jù)顯示，最近5年內(nèi)，安全泄露事件增長(zhǎng)67%，2018年網(wǎng)絡(luò)犯罪攻擊造成的損失達(dá)到1300億美元，平均攻擊識(shí)別時(shí)間增加至197天，平均攻擊修復(fù)時(shí)間增加至69天。可以看到，由于安全問(wèn)題，企業(yè)需要承擔(dān)更多的業(yè)務(wù)損失。

在亞信安全發(fā)布的2019年第二季度安全威脅報(bào)告顯示，中國(guó)已經(jīng)上升為勒索軟件感染量最大的國(guó)家，占到了全球總數(shù)的20%。

如果說(shuō)從冷兵器時(shí)代到熱兵器時(shí)代，殺傷力是從個(gè)體到團(tuán)滅的區(qū)別。那么，在網(wǎng)絡(luò)觸角已經(jīng)延伸到我們身邊每一個(gè)細(xì)枝末節(jié)的程度來(lái)看，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的殺傷力就是呈幾何級(jí)數(shù)增長(zhǎng)的。

在網(wǎng)絡(luò)威脅持續(xù)升級(jí)的當(dāng)下，安全領(lǐng)域的“老司機(jī)”亞信安全提出了“XDR全景”戰(zhàn)略，通過(guò)感知+運(yùn)維的核心理念來(lái)提升事件響應(yīng)能力。提到安全事件處置，感知+運(yùn)維聽起來(lái)并不新鮮，那么，亞信安全的XDR全景戰(zhàn)略到底有何不同呢？

威脅，一石激起千層浪

一切都要從“演習(xí)”說(shuō)起。

2016年，公安部、民航局、國(guó)家電網(wǎng)三個(gè)事業(yè)單位展開了一次網(wǎng)絡(luò)攻防的模擬演習(xí)。在這之后的幾年，每年都會(huì)有一場(chǎng)對(duì)相關(guān)網(wǎng)站和信息系統(tǒng)展開的網(wǎng)絡(luò)安全演習(xí)大作戰(zhàn)，也陸續(xù)有更多的政府部門、企事業(yè)單位加入。也就是說(shuō)，隨著2016年《網(wǎng)絡(luò)安全法》的頒布，“護(hù)網(wǎng)行動(dòng)”成為慣例。

到了今年，工信、安全、武警、交通、鐵路、民航、能源、新聞廣電、電信運(yùn)營(yíng)商等單位都加入了“護(hù)網(wǎng)2019”行動(dòng)。這足以證明網(wǎng)絡(luò)安全在數(shù)字社會(huì)的重要性，也從一個(gè)側(cè)面說(shuō)明網(wǎng)絡(luò)安全態(tài)勢(shì)的嚴(yán)峻。

隨著5G、工業(yè)互聯(lián)網(wǎng)時(shí)代的到來(lái)，以及云計(jì)算的普及，IT基礎(chǔ)架構(gòu)的演變帶來(lái)了新的網(wǎng)絡(luò)安全挑戰(zhàn)。這些安全問(wèn)題中，有意義的可視化能力極為關(guān)鍵，但卻很難做到。超過(guò)55%的IT安全專家每天收到超10000次的安全告警，超過(guò)50%的企業(yè)使用超過(guò)25種的獨(dú)立安全技術(shù)，面對(duì)這些巨量告警，看似有效的可視化偵測(cè)技術(shù)卻把安全運(yùn)維人員帶入了極其混沌的空間，當(dāng)面對(duì)大規(guī)模網(wǎng)絡(luò)中的海量安全數(shù)據(jù)，安全人員淹沒(méi)其中，根本不能有效地發(fā)現(xiàn)攻擊。

亞信安全總裁陸光明指出：“巨量的告警信息，以及孤立產(chǎn)品的數(shù)據(jù)孤島，讓許多用戶難以發(fā)揮威脅檢測(cè)和威脅感知技術(shù)的能力。與此同時(shí)，高級(jí)安全人員的匱乏，以及端點(diǎn)檢測(cè)與響應(yīng)技術(shù)（EDR）的孤掌難鳴，都限制了企業(yè)網(wǎng)絡(luò)安全治理的水平，致使各類威脅入侵頻繁得手、數(shù)據(jù)泄密事件有增無(wú)減。”

而網(wǎng)絡(luò)安全的攻守雙方信息永遠(yuǎn)是不對(duì)稱的，當(dāng)威脅來(lái)臨的時(shí)候，一旦關(guān)鍵節(jié)點(diǎn)被擊穿，受攻擊的一方隨時(shí)都有可能“一失萬(wàn)無(wú)”。

在面對(duì)無(wú)服務(wù)計(jì)算、容器、數(shù)據(jù)整合、檢測(cè)分析，以及“看到”未知威脅這些應(yīng)用需求時(shí)就非常有難度。因此，能夠?qū)崿F(xiàn)跨越安全層，達(dá)成關(guān)聯(lián)分析，歸并離散的威脅告警，提煉帶有上下文擴(kuò)展屬性的安全事件，優(yōu)先聯(lián)動(dòng)處理，將是下一代威脅治理技術(shù)的關(guān)鍵所在。

不做“泛泛的安全”

2017 年時(shí)，Gartner 提出未來(lái)5年企業(yè)將改變他們的安全支出戰(zhàn)略，從僅采取阻止措施轉(zhuǎn)向更側(cè)重于檢測(cè)（Detection）和響應(yīng)（Response），也就是現(xiàn)在安全領(lǐng)域常常提到的D和R。

而這，還需要追溯到時(shí)間更早的2013年。那一年，Gartner首次用“端點(diǎn)威脅檢測(cè)和響應(yīng) （Endpoint Threat Detection and Response，ETDR） ”這一術(shù)語(yǔ)用來(lái)定義 “檢測(cè)和調(diào)查主機(jī) / 端點(diǎn)上可疑活動(dòng)（及其痕跡）” 的工具，后來(lái)通常稱為端點(diǎn)檢測(cè)和響應(yīng) （EDR）。之后的2014年，EDR就進(jìn)入Gartner評(píng)選出的十大頂級(jí)安全技術(shù)之列，并逐步成為網(wǎng)絡(luò)安全的必備技能之一。

亞信安全XDR全景中的“D”和“R”就是指從檢測(cè)到響應(yīng)。不過(guò)，光有檢測(cè)和響應(yīng)是遠(yuǎn)遠(yuǎn)不夠的，加上了X，就形成了一套精密編排的安全聯(lián)動(dòng)解決方案。

亞信安全XDR全景包括了專業(yè)調(diào)查工具、標(biāo)準(zhǔn)的工作手冊(cè)和安全響應(yīng)專家。“從運(yùn)維到安全威脅事件到真正的安全事件處置響應(yīng)，全部自動(dòng)化這是不現(xiàn)實(shí)的，而是需要專業(yè)安全專家團(tuán)隊(duì)基于方案提供相應(yīng)的服務(wù)能力。”亞信安全首席研發(fā)官吳湘寧說(shuō)，“面對(duì)實(shí)戰(zhàn)化的戰(zhàn)場(chǎng)，亞信安全一直堅(jiān)持聯(lián)動(dòng)策略，提供安全服務(wù)能力和專家能力，并和我們的解決方案進(jìn)行結(jié)合，這個(gè)戰(zhàn)略很清楚，亞信安全不會(huì)大規(guī)模地做泛泛的安全服務(wù)。”

防御，組團(tuán)出擊才能避免孤掌難鳴

具體來(lái)看，亞信安全XDR全景就像一幕大戲，關(guān)鍵技術(shù)環(huán)節(jié)都有不同的“角色”出演。

在專業(yè)調(diào)查工具里，終端檢測(cè)及響應(yīng)EDR就像一名“神探”，從服務(wù)器端收集日志并進(jìn)行關(guān)聯(lián)分析，時(shí)時(shí)記錄客戶端系統(tǒng)行為;網(wǎng)絡(luò)檢測(cè)及響應(yīng)NDR就像“千里眼”，24小時(shí)監(jiān)視網(wǎng)絡(luò)流量，進(jìn)行流量采集還原和海量數(shù)據(jù)存儲(chǔ)索引;高級(jí)威脅情報(bào)平臺(tái)TIP像一位“高僧”，負(fù)責(zé)匯集全球化、全行業(yè)、運(yùn)營(yíng)商海量威脅情報(bào)數(shù)據(jù);威脅感知運(yùn)維平臺(tái)UAP則像“千手觀音”，通過(guò)自動(dòng)化的威脅檢測(cè)與共享，將所有信息集中呈現(xiàn)分析。

標(biāo)準(zhǔn)的工作手冊(cè)是應(yīng)對(duì)各類高級(jí)威脅的應(yīng)急響應(yīng)預(yù)案，它就像一位“軍師”，提供從準(zhǔn)備、發(fā)現(xiàn)、分析，到遏制、消除、恢復(fù)、優(yōu)化過(guò)程的各種行動(dòng)指南。

安全響應(yīng)專家是“智囊團(tuán)”，所有產(chǎn)品精密編排聯(lián)動(dòng)，最終交由安全響應(yīng)專家團(tuán)隊(duì)組成的托管檢測(cè)及響應(yīng)MDR，提供強(qiáng)大的后援保障。

“我們給客戶部署的安全產(chǎn)品和解決方案，需要形成有效的戰(zhàn)斗力。這一方面需要通過(guò)產(chǎn)品的聯(lián)動(dòng)，自動(dòng)化的處置，基于大數(shù)據(jù)安全的分析、決策;另一方面，是通過(guò)專家的介入。這是亞信安全一直堅(jiān)持的戰(zhàn)略。”陸光明強(qiáng)調(diào)。

這一點(diǎn)，其實(shí)很像是醫(yī)生的工作——根據(jù)病癥，利用合理的醫(yī)療手段，判斷病灶，再采取恰當(dāng)?shù)闹委熓侄沃斡≡睢８呙髋c低劣的差別，既在于是否合理借助先進(jìn)的醫(yī)療器械與手段，也來(lái)自于經(jīng)年的實(shí)踐積累。對(duì)于亞信安全來(lái)說(shuō)，這么多年沉淀下來(lái)的是基于各種各樣攻防場(chǎng)景劇本的設(shè)計(jì)，以及劇本中每一個(gè)環(huán)節(jié)、節(jié)點(diǎn)中腳本的執(zhí)行。

我們已經(jīng)不可能關(guān)上網(wǎng)絡(luò)的潘多拉魔盒，網(wǎng)絡(luò)安全專家們能做的，只有盡早預(yù)判，并且做出更趨合理的響應(yīng)。